Microsoftは、Active Directoryを含むすべての役割と機能にPowerShellコマンドを提供します。 Active Directoryのみには900を超えるPowerShellコマンドレットが用意されており、ドメインコントローラー、グローバルカタログサーバー、ドメイン、およびActive Directoryフォレストからの情報 要件が何であれ、PowerShellコマンドレットを使用できます。, たとえば、Active Directoryドメイン内のActive Directoryユーザーを読み取る必要がある場合は、Get-ADUser PowerShellコマンドレットを使用できます。 同様に、Active Directoryグループメンバーシップを操作したり、作成されたActive Directoryサイトのリストを取得する必要がある場合は、それぞれGet-ADGroupMembersとGet-ADSiteを使用できます。 この記事では、PowerShellを使用して、セキュリティグループのActive Directoryグループメンバーシップを収集する方法を説明します。
PowerShellの前には、Active Directoryグループのグループメンバーシップを直接収集する方法がありませんでした。, Active Directoryセキュリティグループのメンバーを知る必要がある場合、または複数のセキュリティグループのメンバーをチェックする必要がある場合は、GUIツールを のタスクをチェック-グループ会員のセキュリティグループに変更された国内最大級のユー. 今では単一のユー cmdletき、グループ会員の特定または複数のセキュリティです。 できることは、Get-ADGroupMember PowerShellコマンドレットを使用するだけです。, Get-ADGroupMember PowerShellコマンドレットでは、メンバーをチェックするためにグループ名を指定する必要があります。 たとえば、次のコマンドレットは、Active Directory環境のadministratorsセキュリティグループのグループメンバーを一覧表示します。,
Get-ADGroupMember-Identity”Administrators”
同様に、別のセキュリティグループのグループメンバーシップを確認する必要がある場合は、以下のコマンドを実行するだけで”Production Admins”とします。
Get-ADGroupMember–Identity”Production Admins”
上記のコマンドでわかるように、個々のセキュリティグループのActive Directoryグループメンバーシップを確認するのに数秒かかることはありません。, 管理セキュリティグループのActive Directoryグループメンバーシップを毎日チェックする必要がある場合は、上記のコマンドをバッチファイルに追加して手動で実行するか、スケジュールされたタスクを介して実行するだけです。 例として、以下のコマンドをバッチファイルに追加すると、CSVファイルに結果が表示されます。 GetMembersという名前のバッチまたはCMDファイルを作成したとしましょう。CMDと以下の行を追加しました:
あなたが見ることができるように、上記のコマンドは、実行時に指定されたグループ内のメンバーのリストを返し、その対応するファイルに出力を格納します。, このコマンドはグループからメンバーを収集する簡単な方法を提供しますが、このアプローチではより多くの時間が必要であり、上記のファイルの一部としてグループを追加する必要がある場合は、スクリプトが長くなり、この演習の一部として行うチェックを手動ですべてのグループメンバーのCSVファイルをチェックする必要があります。,
Active Directoryグループメンバーシップレポートの作成
選択したセキュリティグループのActive Directoryグループメンバーシップに関するレポートを作成し、出力を読みやすい形式で保存し、Microsoft Excelまたは同様のツールを使用して出力をチェックするとします。 を追加する少し手を出することによりPowerShellスクリプトで生成する報告がグループのメンバー “BDOAdmin1″、”BDOAdmin2″、”BDOAdmin3″、および”BDOAdmin4″という名前の四つのセキュリティグループがあるとしましょう。 CheckGroupsという名前のファイルがあるとしましょう。,TXTおよびそれはで貯えられますC:\Temp フォルダ。 このC:\Temp\CheckGroups—–TXTには、PowerShellスクリプトで確認するグループ名が格納されます。 あなたは準備ができて二つのファイルを持っていたらC:\Temp 以下のPowerShellスクリプトを実行します。 このスクリプトでは、メンバーが属する識別名とグループ名を含むレポートが作成されます。,
Active DirectoryドメインにアクセスできるPowerShellコンピューターから上記のスクリプトを実行すると、以下のスクリーンショットに示すように、CSVファイル内のレポートが生成されます。
それをラップします
この記事では、Get-ADGroupMember PowerShellコマンドレットを使用してセキュリティグループのメンバーを取得するために使用できるいくつかのコマンドを提供しました。また、指定されたセキュリティグループのメンバーを収集し、レポートの目的で出力をCSVファイルに保存するために使用できるPowerShellスクリプトも提供しました。, レポートを毎週生成する必要がある場合は、Active Directoryドメインにアクセスできるサーバーでスクリプトをスケジュールできます。
画像: